Учитывая множество учетных записей, с которыми нам приходится иметь дело для электронной почты, социальных сетей и других приложений, требующих аутентификации по паролю, нам нужно лучшее решение.
Оригинальная версия этой статьи была написана в феврале 2011 года. Он был обновлен новым содержанием.
Ошибка сердечного кровотечения в библиотеке с открытым исходным кодом OpenSSL вновь привлек внимание к слабым местам паролей — механизму, который был основой компьютерной безопасности на протяжении как минимум 50 лет.
Я уже давно говорю, что пароли и весь наш подход к компьютерной безопасности нуждаются в капитальном пересмотре. Произведение, которое вы сейчас читаете, было написано в 2011 году.
Что послужило толчком к этому? Моя обычная утренняя поездка на работу. Вот что произошло:
Итак, сегодня утром я поступил как обычно. Я проснулся, встал с постели, ответил на зов природы, налил K-Cup в свою пивоварню Keurig, спустился вниз в свой домашний офис и вошел в свою личную учетную запись электронной почты.
Это первое, что я увидел:
Излишне говорить, что меня это не позабавило. Совсем.
В целом я считаю, что очень осторожен с безопасностью своего компьютера. Вплоть до крайней параноики по этому поводу. Я использую «надежные» пароли, смешанные буквы и цифры с небуквенными символами.
Примером этого может быть что-то вроде R1tch13R1c4386!
Более того, я не использую один и тот же пароль для всех своих сервисов. Мой пароль Google уникален.
Сегодня, как современные пользователи компьютеров, мы завалены всевозможными паролями в Интернете и на сайтах социальных сетей. Я использую GMail, Google+ и все приложения Google, такие как Календарь, Аналитика, Документы, и так далее. Я использую Фейсбук. Я использую LinkedIn. Я использую Инстаграм. Я использую Твиттер. Я использую Фликр.
Больше сердечного кровотечения
- Как защитить себя
- Урок: пароли должны умереть
- До Heartbleed: самые худшие уязвимости за всю историю?
- Проверка безопасности LastPass поможет вам
- OpenSSL нуждается в корпоративном финансировании, чтобы избежать повторения Heartbleed
- Ключи CloudFlare украдены
- Инженер Heartbleed: Это был «несчастный случай»
- Имеет ли открытый исходный код значение для Heartbleed?
И да, поскольку эта статья изначально была написана, то и все онлайн-сервисы Microsoft тоже. А еще я наркоман Amazon, потому что покупаю практически все онлайн.
Я использую две отдельные учетные записи для блогов, и у меня есть логины на множестве других веб-сайтов и веб-приложений, не говоря уже обо всех вещах корпоративной интрасети, с которыми я сталкиваюсь ежедневно.
Вся ситуация вышла из-под контроля. Для их отслеживания требуются электронные таблицы и документы, хранящиеся в разных местах, потому что вы не можете надеяться запомнить их все и срок их годности.
И затем, конечно, вам нужно постоянно сбрасывать их, отправляя новые временные файлы на вашу электронную почту, если вы их забудете.
Итак, вернемся к моей учетной записи GMail. Его явно кто-то скомпрометировал, и это несмотря на то, что я использую надежные пароли.
Мои компьютеры — не единственные устройства, которые взаимодействуют с моей учетной записью Google. В то время у меня было два телефона Android, а также iPad. Так что вектор атаки мог быть откуда угодно.
За три года, прошедшие с тех пор, как я написал оригинальную версию этой статьи, у меня появилось еще больше устройств, включая Mac, iPhone, iPad Air, основной рабочий ноутбук с Windows 8.1, два телефона Windows Phone, Microsoft Surface Pro, а также пара планшетов Android.
Ах, да. XBOX One, Roku и Apple TV. И я, вероятно, забываю обо всех других вещах Интернета вещей, живущих в моей беспроводной сети.
Несмотря на все меры предосторожности при использовании надежных паролей, которые я принял в то время, я до сих пор понятия не имею, как эта учетная запись была скомпрометирована.
Я могу только предполагать: это могло быть в мошенническом приложении для Android или iOS, это могла быть межсайтовая аутентификация на Facebook, или это могло быть что-то вроде того. что-то простое, например, фишинговая атака по электронной почте или через Интернет, хотя я обычно очень бдительно отношусь к явным фишинговым письмам, которые ежедневно попадают на мой рабочий стол. сейчас.
Это также могла быть атака «грубой силой», хотя с «надежными» паролями это становится сложнее. Я также не исключаю прямого проникновения на серверы Google.
Все это произошло три года назад. Когда я первоначально писал это, мы не знали, на что тогда могло быть способно АНБ и, предположительно, другие спонсируемые государством субъекты, хотя многие из нас сильно подозревали это.
Ошибка Heartbleed была введена в кодовую базу OpenSSL в декабре 2011 года и широко распространена с момента выпуска OpenSSL 1.0.1 14 марта 2012 года.
Дело в том, что это не имеет значения. Если кто-то вроде меня может быть скомпрометирован, то это может сделать и любой другой, особенно тот, кто не отслеживает свои онлайн-аккаунты и поведение так тщательно, как я.
Посмотрим правде в глаза — пароли сосать. Как только кто-то узнает, кто он, ваша безопасность окажется в мире какашек. Я бы использовал гораздо более сильный термин, чем «какашки», но Я позволю рядовому Пайлу сделать это за меня.
Есть лучшее решение, чем пароли. Это решение — биометрия.
Биометрия уже некоторое время эффективно используется в вычислительных приложениях, в первую очередь для обеспечения высокого уровня безопасности. среда, в которой признание уникальных характеристик личности имеет первостепенное значение важность. Обычно вы видите, что они используются в правительственных, СОВЕРШЕННО СЕКРЕТНЫХ и финансовых системах.
Обычно вы видите их в виде отпечатка пальца или сканирования сетчатки глаза, а иногда даже в виде идентификации по отпечатку голоса. Существуют и другие способы биометрии, но широко используются именно эти.
Одной из таких систем, в которой используются как отпечатки пальцев, так и сетчатка, является Служба зарегистрированных путешественников CLEAR, который недавно вновь открылся под новым владельцем с ограниченным обслуживанием в аэропорту Орландо после материнской компании Verified Identity Pass прекратила деятельность в июне 2009 г..
Несмотря на то, что у компании были финансовые проблемы и услуга, возможно, появилась раньше времени, их система аутентификации сама по себе была одной из лучших. лучшее, что я когда-либо видел, в котором использовалось сочетание электронного удостоверения личности с биометрической подписью, а также сканирования сетчатки глаза и отпечатков пальцев.
Сканеры отпечатков пальцев стоят недорого: от 40 до 50 долларов в розницу, если вы хотите добавить их на свой компьютер. В некоторых бизнес-ноутбуках более высокого класса, например в моем Lenovo X1 Carbon Touch, они уже встроены.
Что касается стоимости компонентов для интеграции в USB-клавиатуру, ноутбук, планшет или смартфон, то цена будет значительно меньше, если начать их производство десятками миллионов. Apple уже доказала это, интегрировав сканеры отпечатков пальцев в свой iPhone 5S, а Samsung – в свой новый Galaxy S5.
Встроенные камеры в ноутбуках и смартфонах с ПЗС-матрицами высокого разрешения и постоянно совершенствующимися возможностями макросъемки и Миниатюрная оптика также может сделать сканирование сетчатки на портативных устройствах и ПК доступной реальностью в ряде случаев. годы.
Эти решения также могут быть объединены с RFID-имплантатами и/или идентификацией по голосовому отпечатку, а также Доверенные платформенные модули (TPM) и виртуальные смарт-карты, имеющие несколько точек идентификации, чтобы минимизировать риск доступ из-за подделки биометрических данных или принуждения под принуждением (например, принуждение к аутентификации под прицел).
Однако стоимость и интеграция оборудования — это только часть проблемы. Что нам действительно нужно, так это стандартизированный API, который будет работать на любой платформе ОС и в Интернете, чтобы у вас есть возможность беспрепятственного биометрического входа в систему на основе сеанса для всех служб и приложений, которые вы можете использовать. использовать.
А регистрация биометрических данных должна либо стать централизованной, федеративной, либо сделать ее намного проще, чем сейчас.
Учитывая сохраняющуюся важность таких сервисов, как Google Apps, FaceBook, Twitter и других сервисов, а также количество паролей, которые мы сейчас необходимость поддерживать, начинает казаться, что нам нужен универсальный биометрический API, и желательно тот, который пользуется государственной поддержкой с точки зрения принятия стандарты.
Мне бы хотелось, чтобы Google, FaceBook, Amazon, Microsoft, IBM, HP, Oracle и Apple, а также Управление ИТ-директоров США и аналогичные организации в ЕС сделали это своим приоритетом.
Происходит слишком много случаев кражи личных данных и взлома паролей, и это обходится потребителям, предприятиям и правительствам в сотни миллионов, если не миллиарды долларов. долларов в год, не говоря уже об ухудшении ситуации и неудобстве, связанном с компрометацией ваших данных, а также о вреде вашей личной и деловой репутации, когда это произойдет. имеет место.
Учитывая распространенность социальных сетей, смартфонов и мобильных приложений, нужно ли нам массовое внедрение биометрии? Ответьте и дайте мне знать.